Apple è stata davvero tempestiva e ha già rilasciato un update di sicurezza per correggere la grave falla scoperta su macOS High Sierra. Arrivano anche le scuse dell’azienda.
Sfruttando questa falla, chiunque può accedere al Mac con funzionalità di amministrazione complete di root senza password. Basta inserire “root” come nome utente, senza inserire alcuna password, per poter accedere al Mac con i privilegi di amministratore. Tale accesso può avvenire direttamente dalla schermata di accesso di macOS, dal Pannello delle Preferenze o anche tramite VCN e login remoto.
Apple è corsa subito ai ripari è ha rilasciato su Mac App Store il Security Update 2017-001 per macOS High Sierra che va a correggere proprio questa falla.
Consigliamo di aggiornare immediatamente il vostro Mac.
AGGIORNAMENTO: l’update di sicurezza viene installato automaticamente su macOS 10.13.0, ma gli utenti che aggiornano a macOS 10.13.1 dovranno reinstallare l’update di sicurezza, dato che il bug di root si ripresenta una volta installata quella versione di macOS. Questo significa che se avete aggiornato macOS 10.3.0 con l’ultimo update di sicurezza, e poi passate a macOS 10.3.1, dovrete nuovamente installare l’update di sicurezza per correggere il bug del root. Tra l’altro, è anche necessario riavviare il Mac per attivare l’update di sicurezza.
Apple si è anche scusata con gli utenti:
La sicurezza è una priorità assoluta per ogni prodotto Apple e purtroppo ci siamo imbattuti in questa versione di macOS. Quando i nostri ingegneri specializzati in sicurezza sono venuti a conoscenza del problema martedì pomeriggio, abbiamo immediatamente iniziato a lavorare su un aggiornamento per poter chiudere quanto prima la falla di sicurezza.
Da questa mattina, l’aggiornamento è disponibile per il download e a partire da oggi verrà installato automaticamente su tutti i sistemi che eseguono la versione 13.13.1 di macOS High Sierra.
Ci scusiamo per questo errore e ci scusiamo con tutti gli utenti Mac, sia per la presenza della vulnerabilità, sia per la preoccupazione che ha creato. I nostri clienti meritano di meglio. Stiamo verificando i nostri processi di sviluppo per evitare che episodi di questo tipo accadano di nuovo.
Al di là delle scuse di rito, fa pensare il fatto che Apple si sia lasciata sfuggire un bug così importante. Passi per i piccoli problemi di iOS (come l’irrisolto “la” che si trasforma in “L.A.” durante la digitazione), ma qui stiamo parlando di una delle più grandi falle di sicurezza mai scoperte su un sistema operativo. Consentire a chiunque abbia accesso fisico al Mac di accedere senza alcuna password, e con i privilegi di amministratore, è imperdonabile. Significa che chiunque può prendere il controllo del computer ed effettuare qualsiasi operazione. E il bug è stato lì per almeno un paio di settimane.
Possiamo consolarci nel fatto che questo errore è stato corretto in poco tempo e che, almeno nella versione finale, il bug ha avuto pochi giorni di vita. Il dubbio è che con High Sierra Apple si sia lasciata prendere troppo dalle funzioni nuove e più o meno importanti, tralasciando la sicurezza. Oltre a questo importante bug, ci sono infatti altri piccoli problemi (anche funzionali, vedi la gestione del secondo monitor) che l’azienda sta correggendo con i vari update
Magari, per il 2018 Apple potrebbe lasciar perdere le funzioni (quasi tutte inutili come le emoji) e concentrarsi su un update serio, funzionante e super sicuro, un po’ come successe con il quasi perfetto Snow Leopard. E’ vero, le nuove funzionalità sono il pane dei media, dei pr e del marketing, ma quando poi escono queste notizie tutto il lavoro rischia di essere buttato all’aria.